Derechos de seguridad mínimos para realizar consultas LDAP en Active Directory
-
05-07-2019 - |
Pregunta
Nuestra empresa está intentando implementar algunas aplicaciones de inicio de sesión único utilizando Active Directory (Windows Server 2003) y LDAP. Me gustaría bloquear la cuenta utilizada para realizar estas consultas LDAP tanto como sea posible. ¿Cuál es la mejor práctica para configurar este tipo de cuenta?
Solución
Puede restringir / permitir lo que un usuario puede o ver / consultar en AD mediante el uso del Asistente de delegación. Puede acceder al Asistente de delegación fácilmente haciendo clic con el botón derecho en una OU y seleccionando Control de delegación. Usted también puede querer echar un vistazo a estos artículos:
Problemas de seguridad predeterminados en la delegación de Active Directory
Otros consejos
Consulte Cómo configurar Active Directory para permitir consultas anónimas para una seguridad mínima.
De forma predeterminada, la implementación de Microsoft LDAP no es compatible con LDAP seguro. Para configurar LDAP seguro utilizando SSL, los certificados deben instalarse tanto en el Servidor LDAP como en el (los) Cliente (s) LDAP. En muchos casos, el servidor LDAP es el controlador de dominio que ejecuta Active Directory.
Los certificados necesarios para ejecutar LDAP seguro utilizando SSL se pueden configurar de varias maneras. El concepto es siempre el mismo:
- El dominio de Active Directory el controlador utiliza un certificado especial que es emitido por un confiable autoridad de certificación.
- La computadora clent confía en autoridad de certificación que emite el certificado al activo Controlador de dominio de directorio.